针对电子政务安全态势检测的新思路,该文是电子政务方面有关论文范文例文跟电子政务和新思路和态势类论文范文例文.
电子政务论文参考文献:
汤煜康田立
近年来,攻击技术开始从直接攻击转向以APT、定向鱼又、跳板渗透和社工结合为主,更加强调攻击过程的政治和经济收益,关注对敏感数据的搜集和窃取,攻击者也更倾向于采取隐蔽的手段来执行攻击行为.在这个过程当中,政务单位因其信息数据的敏感性和高附加值,往往非常容易成为首当其冲的目标,而多数政务单位的安全防御体系都还是传统的边界防御和规则检测方式,难以应对这些新兴的攻击手段.
对于这些以窃密信息为目的的攻击者,潜伏、搜集和窃取是其主要行为动机,很多单位都是在自己的重要信息已经通过暗网大范围传播,才被动得知网络已经被黑的现状,这就使得大量的国家敏感文件和信息暴露在恶意攻击者和别有用心者的控制之下,需要引起足够的重视并采取相应的技术检测手段.
传统技术体系之殇
传统的安全保障手段往往采取“分析检测、查杀封堵”的思路实现安全保障目标,包括防火墙基于IP、端口的阻断策略、IPS基于特征库的入侵防御策略、反病毒软件基于病毒库的恶意代码处置都是基于此类思路,即阻断威胁网络安全和稳定运行的操作和行为.但根据Verizon的全球安全事件调查报告显示,不计算前期侦察与信息获取的过程,攻击者从实施攻击到入侵得手仅需要花费数小时的时间.但是62%以上的门需要花上数周甚至超过一个月的时间才能发现攻击,随后还需要数天至数周的时间完成响应和补救工作.
而在Mandiant最新的高级安全威胁报告中指出,政府机关和企事业单位发现潜藏攻击者的平均时间为229天,更为严重的是,仅有33%的组织是自行发现攻击事件的,更多的攻击事件是在被监管机构通报、曝露在暗网甚至是互联网上以后才被发现.
Ponemon Institute针对全球252个机构的1928起攻击事件的统计发现,攻击事件的平均解决时间为46天,而每延迟发现和解决攻击事件一天的成本高达21 155美元.针对目前的安全现状,权威机构Gartner更是大胆指出,到2020年,企业门应该将60%的预算投资到安全检测与响应中来,以应对日趋复杂的网络安全环境.
态势感知成为业界新宠
信息安全从最初的以纵深防御为代表的静态防御,逐步发展为近年来以检测响应为核心的动态体系,经历了一个长期的攻防双方对抗和升级的过程.这个过程当中,防御者长期以来都是处于一个被动的位置,急需一种新的攻击行为检测理念和技术,来弥补传统安全防护体系在攻击专业化、隐蔽化和组织化形势下的不足.这个新理念就是安全态势感知,最早由M.Endsley教授在1995年提出,认为“态势感知是认知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久将来的状态”,防御者开始尝试去理解攻击的行为和动机,开启了基于行为检测技术的先河.
从基本的逻辑链分析,到近年来大数据分析技术的应用,行为检测技术经历了一个快速变化和发展的过程,大数据模型下的用户行为特征的定义和识别涉及了极为复杂的立体化建模和关联分析规则.这些研究内容都需要投入大量的科研力量,在广泛收集海量原始数据的基础上,进行深入的分析、学习和研究,才能实现较好的技术突破.
电子政务领域应用正当时
安全信息和事件管理系统(SIEM)作为新一代行为检测技术的载体,虽然在大数据技术的支撑下获得了快速的发展,但实际应用却差强人意,海量数据采集即是优势,但如果不能有效分析就只能是徒有其表了.在安全态势感知的定义中,可以将对安全问题的理解分为三个阶段:态势认知、态势理解和态势预测,而多数SIEM只做到了海量数据采集,连认知都谈不上更达不到理解的程度.
我们对态势的理解和攻击行为的分析在电子政务领域具备极好的契合性,主要是因为政务网络管理规范,各机关单位的业务系统和业务数据流与普通公司或互联网企业相比具备极为清晰的规律性,用户行为特征的提取和数据流规律的分析更加准确快速,规避了普通网络中相关领域研究的一大难题.同时,政务网络与互联网等外部网络隔离的特性,也决定了网络中主要的安全隐患来自于内部威胁,行为检测技术可以有效地应对内部人员越权和违规操作的安全威胁,是现有安全保障体系的重要补充和完善手段.
通过对合法应用数据流和用户行为进行深入检测,分析关联后得出“合法、干净”的网络流量和行为特征,阻断所有不符合类似特征的网络数据,从而在根本上解决传统安全防护手段的弊端.无论终端用户访问业务系统,还是业务系统之间的调用和联动,都离不开网络层的信息交互,是任何攻击所无法绕过的交通枢纽;而如果通过操作系统之上的日志和行为分析,都会面临和攻击者竞争root权限的问题,容易出现日志本身失真的情况,但网络层面进行的数据包镜像采集则具备更好的真实性和完整性.
用户和实体行为分析
用户和实体行为分析是一种不同于传统基于特征库的黑名单式的攻击检测技术,通过定义合法和正常用户的行为,建立基于行为白名单的安全检测能力,其核心思路是违规和异常行为的检测.
所谓违规,是指网络行为违反了一定的“规范”,例如业务科室主动访问财务系统数据库服务器,即使明显违背了人员正常行为的规范.这里的规范可以是现实世界行为关系在IT系统中的抽象,也可以是既有行为规律的机器自学习;
所谓异常,是指网络行为明显不同于“正常”数据的范式,包括两个维度的内容,一个是数据包关联的用户行为不同于其他大多数正常用户视为异常,另一个是数据包管理的用户行为不同于自身在过去的行为习惯,异常检测主要以机器自学习为主.
具体的实现包括以下特征提取和行为建模两个层面的内容,即上面提到的态势认知和态势理解:
行为特征提取
传统的网络行为分析对象包括源IP地址、源端口、目的IP地址、目的端口和传输层协议这五个量组成的集合,称之为网络通信的五元组.在同一时间五元组能够区分不同会话,并且对应的会话是唯一的,并在一定程度上能够表明通信双方的身份信息.但这种检查策略的缺点是,由于无法对数据包内容进行实时检测导致无法检测合法用户进行的非法网络攻击行为.
针对目前许多政务单位和核心部门的网络通信特点,行为特征提取可以通过“三层立体”方式实现从物理层到应用层的立体流量监测.“三层立体”指的是物理层(物理接口和二层协议+网络层(源IP地址、源端口、目的IP地址、目的端口、三层协议)+应用层(数据内容模式)这八个参量,能够全面的描述通信双方及其行为的合法性:
首先违规和异常策略能够针对不同方向(In/Out)的网络数据进行传输层协议分析,允许的数据将进行网络层合法性检查环节,网络层合法性检查是针对网络IP包的五元组信息进行匹配检查,只有IP地址和通信端口在允许范围内的数据包会进入到应用层检查,否则将直接判断为访问关系违规;通过网络层合法性检查后,IP包的净负荷将进入应用层异常检测环节,对业务数据进行内容识别,通过强大的高速字符搜索引擎和灵活的策略语法,可以完成应用层的业务处理.
行为分析建模
攻击者的行为往往不是以病毒、漏洞利用等明显的恶意特征出现.攻击者会通过社会工程学、钓鱼、以失陷主机为跳板等手段获取高级管理员的*与权限;内部潜藏的恶意用户也会通过窃取、窥探等手段获得合法权限.
此外,在嗅探、突破、渗透、横移、会话维持、捕获占领的整个攻击链条中,均会非常小心地隐藏自己的攻击行为,将关键文件进行打包加密甚至隐写,所有的网络会话也会在加密通道上传输,而会话维持以及远程控制服务器的通信会夹杂在*、VPN隧道、NTP、DNS等正常网络协议中混淆视听.专业的网络分析人员可以根据经验完成数据流分析工作,然而普通运维人员却并没有类似的技术储备,而实际网络中的海量数据决定了分析量也是人力所不及的,所以必须实现对数据流特征的自学习.
主要包括以下几个方面:
第一,攻击往往是由一系列行为完成的,因此可以通过监测其行为序列来描述攻击过程和用户交互行为,这本身就是一个典型的状态机模型,通过分析网络行为在不同状态之间的切换概率,就可以描述正常用户和异常用户之间的不同特征;
第二,绝大多数信息系统总是面向多个海量用户提供服务的,那么对于业务的访问来说,攻击行为相对属于小概率事件,通过识别这些和大多数用户行为不同的离散异常行为即可发现攻击者.这种离散行为检测过程适用于机器学习中的无监督异常监测算法,为了避免单点异常的干扰,iForest算法的鲁棒性特点具备更好的适用性;
第三,每个用户行为自身具备相对的规律性,同样可以通过对其过去一段时间内的行为特征进行比对,形成用户行为规律的判断依据,分析用户是否为其生成的主体,是否存在权限冒用或者被恶意攻击者控制的情况.
(作者单位:浙江嘉兴市保密技术检查中心、上海信息安全工程技术研究中心)
本文总结:上文是一篇关于对不知道怎么写电子政务和新思路和态势论文范文课题研究的大学硕士、电子政务本科毕业论文电子政务论文开题报告范文和文献综述及职称论文的作为参考文献资料.
基于区级电子政务骨干网的客户端安全认证
一、引言智慧城市是运用物联网、云计算、大数据、空间地理……信息集成的新一代信息技术,促进城市规划、建设、管理和服务智慧化,是新理念和新模式,核心骨干网络是基础,尤其重要 以智慧南开建设为总体目标,按照.
食品安全监管中快速检测技术新方向
运用快速检测监管食品安全的现实意义人民的生活水平随着经济的发展日益提升,饮食习惯也发生了相应地改变,由原来的吃饱到如今的吃好,人们越来越关注食品安全问题,要求加强食品安全监管,保证消费者的生命健康,但.
科学做好食品安全检验检测工作
摘要我国人口众多,食品安全检验检测至关重要 不断频发的食品安全问题严重影响着人民群众的生命健康安全 因此,在社会主义新时期,检验检测部门更要清醒地认识到,食品安全事关人民群众生命健康,食品检验检测工作.